我有两个具有双向信任关系(选择性身份验证)的域。已安装并配置 Microsoft Identity Manager,并且已配置“密码更改通知服务”,并已正确使用 RPC 请求将密码更改传送到目标 FIMSyncronization 服务(Kerberos 身份验证也正常工作)。
MIM 中配置了两个 AD 管理代理:一个用于“源”域,另一个用于“目标”域。
为了允许“源”代理和“目标”代理上的密码同步,需要配置哪些属性和连接/投影规则?
官方文件对此事的说明并不明确,并且网络上的所有示例都没有提供有关密码同步所需的规则/属性/映射的任何提示。
另外,“unicodePwd”属性在 Active Directory 中是只写的,并且 Metaverse 中似乎没有任何相关属性来存储此密码哈希。
答案1
通常,您会在源 MA 中有一个投影规则,以在元宇宙中生成一个对象,同时将至少一个导入属性流导入到索引属性 - 例如 sAMAccountName、employeeID 等。
您还将在目标 MA 中拥有一条连接规则,用于将目标帐户链接到源 MA 创建的元宇宙对象。
一旦账户链接起来并且密码同步服务收到新密码的通知,密码将被发送到目标,而无需任何额外的属性流。